宗教符号武器化，mimo团伙利用Microsoft SharePoint RCE漏洞投递4L4MD4...

主要观点总结

文章介绍了2025年7月Microsoft SharePoint服务器暴露的远程代码执行漏洞及由此引发的安全事件。奇安信威胁情报中心红雨滴团队对漏洞进行了分析，并观察到某医疗客户的服务器被入侵。入侵者使用了带有宗教色彩的勒索软件4L4MD4r，似乎隶属于具有经济动机的mimo攻击团伙。建议政企客户在办公区和服务器区同时部署天擎，开启天擎“六合”高级威胁防御引擎以拦截该漏洞。文章还提供了样本分析、威胁行为者的活动细节以及对此类攻击的精确检测的建议。

关键观点总结

关键观点1: 背景介绍

文章介绍了Microsoft SharePoint服务器的漏洞及其全球影响。

关键观点2: 安全事件概述

奇安信团队对漏洞进行了分析，并观察到某医疗客户的服务器被入侵，入侵者使用了4L4MD4r勒索软件。

关键观点3: 攻击软件分析

勒索软件使用golang编写，功能包括下载载荷、解密PE文件、申请内存装载文件等。攻击者使用跳板URL下载payload并执行，但被天擎拦截。

关键观点4: 勒索软件行为特点

勒索软件先进行时间检测反调试，然后获取计算机名生成ID和加密密钥，合并成json后加密上传到指定URL。成功后开始加密文件，并在桌面生成勒索信和加密文件列表。

关键观点5: 建议措施

建议政企客户部署天擎并开启高级威胁防御引擎以检测此类攻击。

免责声明